Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • Anatsaun troyano bancario para Android también conocido como TeaBot, se ha expandido a nuevos países en una campaña reciente. Además de los objetivos anteriores del Reino Unido, Alemania y España, Anatsa se ve ahora en Chequia, Eslovaquia y Eslovenia. En abusa del servicio de accesibilidad de Android y ejecuta transacciones fraudulentas en el dispositivo de la víctima.
  • GoldPickaxela última variante de la familia de troyanos bancarios Golddigger Android del grupo de amenazas GoldFactory, se ha vuelto más potente con la capacidad de dirigirse tanto a plataformas Android como iOS. El actor de la amenaza desarrolló dos versiones diferentes del malware para poder atacar a los usuarios de banca móvil en Tailandia y probablemente Vietnam, independientemente de la plataforma. En particular, presenta técnicas emergentes para eludir la recién introducida medida de seguridad de verificación biométrica facial utilizada en las transacciones bancarias en Tailandia. La versión Android del troyano abusa del servicio de Accesibilidad y realiza ataques de superposición.
  • I-Soonun contratista de las agencias estatales chinas para campañas de piratería y espionaje en el extranjero, ha sufrido una brecha de seguridad. Una rica colección de documentos internos que muestran los servicios que ofrece la empresa de tecnología, incluyendo espionaje de dispositivos Android e iOSse filtró.
  • Jokeruna RAT para Android también conocida como Copybara, se ha utilizado en una campaña de ataque activa dirigida a España, Italia y el Reino Unido. Las víctimas son redirigidas a un sitio web de phishing que suplanta a bancos famosos, y cargan una aplicación bancaria falsa con la ayuda de técnicas de ingeniería social de smishing y vishing. Esta aplicación es portadora del troyano Joker y realiza fraude en el dispositivo (ODF), que no deja rastros de riesgo tradicionales y supone un verdadero reto para los sistemas antifraude de las entidades financieras. Abusa del servicio de accesibilidad de Android y realiza ataques estándar como superposición, keylogging y control remoto (VNC).
  • Aplicaciones de chatbot para relacionesbasadas en grandes modelos lingüísticos (LLM), son malas para la privacidad.
  • Samecoinuna campaña de ataque que engaña a ciudadanos israelíes haciéndose pasar por la Dirección Cibernética Nacional israelí, distribuye una aplicación maliciosa para Android y borra los teléfonos móviles de las víctimas.
  • Aplicaciones inteligentes para cascos de esquí y bicicleta de una popular marca tienen un simple fallo de seguridad que expone los datos de localización en tiempo real y los chats de audio de sus usuarios.
  • SpyNote Android RAT se propaga a través de falsas aplicaciones de videoconferencia que se hacen pasar por Google Meet, Skype y Zoom en una nueva campaña de ataque. Todos los sitios web utilizados en la distribución de las aplicaciones falsas estaban alojados en la misma dirección IP, y todo el contenido estaba escrito en ruso, lo que da una idea de las personas a las que se dirige esta campaña.
  • Teabot, un troyano bancario para Android también conocido como Anatsa, aumentó su actividad en varios países europeos. Se propaga a través de una aplicación dropper en Google Play Store y realiza fraude de toma de control de cuentas (ATO) para robar a sus víctimas haciendo un uso indebido de los permisos de Accesibilidad.
  • VoltSchemer demuestra una nueva forma de inyectar comandos de voz inaudibles en el asistente de voz de un smartphone en carga con sólo manipular la fuente de alimentación del cargador inalámbrico.

Vulnerabilidades y parches

  • El cliente Wi-Fi de código abierto (wpa_supplicant) de todos los dispositivos Android tiene un fallo de autenticación (CVE-2023-52160) que permite engañar a una víctima para que se conecte a un clon fraudulento de una red Wi-Fi empresarial.
  • La aplicación de automatización por defecto de Apple, Shortcuts, tiene una vulnerabilidad (CVE-2024-23204) que permite a un atacante acceder a datos sensibles sin solicitar permiso. Se ha corregido en la versión iOS 17.3 iOS 17.3.
  • Apple ha parcheado dos días cero activamente explotados (CVE-2024-23225 y CVE-2024-23296) en la versión iOS 17.4 y iOS 16.7.6 iOS 16.7.6. Ambas vulnerabilidades permiten a un atacante con capacidades arbitrarias de lectura y escritura del kernel saltarse las protecciones de memoria del kernel. Ambos problemas se han solucionado con una validación mejorada.
  • CISA añade CVE-2023-21237 a su catálogo de vulnerabilidades explotadas conocidas. Se trata de un fallo en el componente framework de Android que conduce a la divulgación de información sensible. Fue parcheado en junio de 2023.

Informes de inteligencia

  • El informe de Meta sobre amenazas adversas del cuarto trimestre de 2023 comparte información exhaustiva sobre las operaciones de las ocho empresas de vigilancia por encargo dirigidas a usuarios de Windows, Android e iOS. Su software espía para móviles puede filtrar diversos datos (información del dispositivo, ubicación, fotos y archivos multimedia, contactos, calendario, correo electrónico, SMS, redes sociales y aplicaciones de mensajería) y controlar las funciones del micrófono, la cámara y las capturas de pantalla.
  • Anubis, AhMyth e Hiddad fueron los tres principales malwares para móviles en enero de 2024, según el Informe sobre el malware más buscado de Check Point.
  • El informe de Kaspersky sobre el panorama de las amenazas de malware móvil muestra ~33,8 millones de ataques de malware, adware y riskware evitados en 2023. La amenaza más común fue el adware, con un ~41% de los 1,3 millones de paquetes de instalación maliciosa únicos; el riskware ocupó el segundo lugar, y el troyano bancario para Android el tercero, con un ~27% y un ~12%, respectivamente.
  • Según el Informe sobre ciberseguridad 2024 de CheckpointAnubis (16%), AhMyth (13%) y Pandora (9%) fueron los tres principales malwares móviles de 2023. Anubis fue el líder en la región EMEA con una cuota del 22%, AhMyth en APAC con un 21% y Pandora en América con un 26%.
  • El Grupo Insikt de Recorded Future informa una nueva red de infraestructura de entrega de programas espía móviles Predator, utilizada por once países. A pesar de las críticas públicas por el uso abusivo, los mínimos cambios en la operación de vigilancia Predator indican una amenaza continua.
  • El informe de CloudSEK revela la operación de blanqueo de dinero de ciberdelincuentes chinos a través del sistema bancario indio utilizando una red de mulas de dinero. Este esquema de blanqueo de capitales a gran escala se orquesta simplemente a través de una aplicación Android.